ICS (Industrial Control Systems)-Netzwerke haben seit dem letzten Jahr durch Sicherheitsprobleme und Angriffe darauf Schlagzeilen gemacht. Unter ICS-Netzwerken versteht man eine Sammlung von Netzwerken mit Elementen für die Bereitstellung und Kontrolle von Telemetriedaten zu elektromechanischen Komponenten wie Ventilen, Regler oder Switches. Sie werden vor allem in Industriezweigen wie der Öl- und Gasproduktion, in der Wasserwirtschaft, Umgebungskontrollsystemen, Elektrizitätswerken, in der Fertigung oder im Transportwesen verwendet.
All den ICS-Umgebungen ist gemeinsam, dass sie nicht „traditionelle“ IT-Netzwerke darstellen und auch nicht als solche behandelt werden sollten. Durch ihre Einzigartigkeit haben sie die gleichen Sicherheitsherausforderungen, die durch die Interaktion der ICS-Elemente mit physischen Industriekomponenten noch größer werden.
Ist der Zugang zu diesen Elementen nicht entsprechend abgesichert und eingeschränkt, kann es zu Unfällen mit katastrophalen Auswirkungen kommen. Deshalb werden viele dieser Industriesysteme auch als „kritische Infrastruktur“ eingestuft, die einer speziellen Sicherheitsarchitektur bedarf.
Supervisory Control and Data Acquisition (SCADA)-Netzwerke stellen die Netzwerkschicht dar, als direkte Schnittstelle zu den ICS-Netzwerken und den Host-Systemen, die die ICS-Elemente überwachen und kontrollieren. Bislang lebten die SCADA/ICS-Netzwerke in einer eigenen Welt von proprietären Protokollen auf speziellen Plattformen und einer darauf zugeschnittenen Kommunikationsinfrastruktur. Sie waren von anderen Netzwerken, einschließlich Internet, vollkommen abgeschnitten. Doch nun wird immer häufiger Standard-Hard- und Software (beispielsweise Microsoft Windows) eingesetzt, und sie sind mit externen Netzwerken verbunden. Damit aber sind sie auch den aus der IT bekannten Gefahren ausgesetzt.
Das technische Whitepaper “Towards a More Secure Posture for Industrial Control Systems” beschreibt die Grundelemente einer für diese Systeme erforderlichen Sicherheitsarchitektur. Dabei unterscheiden die Autoren des Papiers zwischen ICS-Netzwerken und SCADA-Funktionalität. Das ICS-Netzwerk besteht vor allem aus programmierbaren, logischen Controllern und anderen DCS-Elementen. Das SCADA-Netzwerk wiederum bildet eine „Brücke“ zwischen den ICS- oder DCS-Sensoren und den Managementsystemen, die deren Betrieb überwachen und kontrollieren.
Zu den kritischen Sicherheitsmaßnahmen gehört in erster Linie die strenge sowie zeitnahe Handhabung der Software-Patches für Sicherheitslücken, denn die Zahl der Exploits für bestimmte ICS- und SCADA-Plattformen steigt stetig. Nicht nur das Betriebssystem, sondern jedes Softwarepaket, das auf einem Gerät installiert wird (einschließlich Netzwerkmanagement-Plattformen, Router, Switches, Firewalls, Intrusion Detection Systems usw.), muss beim Patch-Management berücksichtigt werden.
Von grundlegender Bedeutung für die ICS-Sicherheit ist auch die geeignete Segmentierung und Verteilung der Netzwerke, Betriebsfunktionen und Einzelelemente. Unter anderem empfiehlt sich ein DMZ-Managementnetzwerk als zusätzliche Segmentierungsschicht. In enger Verbindung damit stehen auch Maßnahmen wie Authentifizierung, Log-Management und -Analyse, Anwendungskontrolle, Netzwerkzugangskontrolle und andere.
Für die Zugriffskontrolle empfiehlt der Autor eine spezielle Firewall, die zwischen die SCADA- und DMZ-Managementnetzwerke gesetzt wird. Sie erlaubt den Verkehrsfluss nur in eine Richtung.
Anwendungs-White-Listing stellt einen weiteren wichtigen Kontrollmechanismus dar, sodass lediglich vorher autorisierte Programme laufen dürfen. Damit soll verhindert werden, dass durch böswilliges oder unaufmerksames Verhalten von Anwendern Malware oder infizierte Programme eingeschleust werden.
Schließlich sollte ein Intrusion Detection System sowie das Log-Management und die Analyse von Sicherheits- und Ereignisinformationen nicht fehlen. Weitere Einzelheiten sowie Best Practices zur Absicherung der kritischen Infrastruktur liefert das Whitepaper.

Das Jahr 2011 brachte sowohl Herausforderungen als auch Erfolge nicht nur für Trend Micro, sondern auch für die anderen Sicherheitsanbieter und die behördlichen Mitstreiter im Kampf gegen Cyberkriminalität. 2011 wurde, wie von unseren Sicherheitsforschern vorhergesehen, zum „Jahr der Dateneinbrüche“. Weltweit wurden Unternehmen Opfer von gezielten Einbruchsangriffen und erlitten hohe Datenverluste, der neuen digitalen Währung.
Als Vorbereitung auf das kommende Jahr lohnt es sich, einen Blick auf die von Trend Micro getätigten Vorhersagen zu werfen und auf das, was tatsächlich eingetreten ist.

• Es wird mehr zielgerichtete Angriffe und Cyberspionage geben. Wie prognostiziert, wurden weltweit einige Unternehmen Opfer von zielgerichteten Angriffen, die sie teuer zu stehen kamen. RSA und Sony PlayStation – zwei der größten Angriffsziele 2011 – verloren Millionen Kundendaten und mussten Riesensummen aufbringen, um den Schaden zu beheben.
• Es wird mehr Angriffe auf mobile Geräte geben. Der enorme Anstieg der Android-Malware hat die Reife der mobilen Bedrohungslandschaft begünstigt. Mit Trojanern infizierte und andere Arten von bösartigen Android-Apps haben nicht nur die App Stores von Drittanbietern verseucht, sondern auch den Android Market selbst. Die prominentesten Schädlingsfamilien 2011 waren RuFraud- und DroidDreamLight-Varianten.
• Ausgeklügelte Malware-Kampagnen werden zunehmen. Cyberkriminelle haben weltweit Nutzer von sozialen Netzwerken mit noch mehr Aufsehen erregenden Spam- und Betrugsangriffen sowie innovativen Tools über Social Engineering überrollt. Diese Attacken haben Tausende von Nutzern ihre vertraulichen Daten und sogar die persönlichen Informationen gekostet.
• Die Ausnutzung von Sicherheitslücken und Exploits wird weitergehen. Obwohl die Zahl der ausgenützten Sicherheitslücken, über die berichtet wurde, rückläufig war, haben die Kriminellen weiter eine ganze Reihe von Exploit-Angriffen gestartet. Die drei am häufigsten ausgenützten Sicherheitslücken — VE-2011-3402, CVE-2011-3544 und CVE-2011-3414 – betrafen Produkte von drei der Top fünf Anbieter, nämlich Microsoft, Oracle und Adobe.
• Es wird neue Infektionen mit alter Malware geben und der kriminelle Untergrund wird sich konsolidieren. Traditionelle Bedrohungen haben auch 2011 Nutzer großen Schaden zugefügt. Als Mittel, um an Daten, Geld oder Identitäten heranzukommen, nutzen sie neue und bessere Werkzeuge und infizieren damit die Systeme und Geräte unwissender Nutzer.

Die Sicherheitsforscher haben zwar Hacktivismus für 2011 nicht prognostiziert, doch es gab eine ganze Reihe an Masseninfektionen durch AntiSec- und LulzSec-Angriffe. Hacktivistengruppen waren bei ihren Angriffen unter anderem auch politisch motiviert.
Doch insgesamt war 2011 kein so schlechtes Jahr, denn es gab auch Erfolge im Kampf gegen Cyberkriminalität. In enger Zusammenarbeit mit Partnern und den Behörden stand Trend Micro an vorderster Front in der Aktion „Operation Ghost Click“, bei der der bislang größte cyberkriminelle Ring ausgeschaltet wurde.
Weitere Einzelheiten zu den Sicherheitsvorfällen im vergangenen Jahr finden sich im Report “A Look Back at 2011: Information Is Currency”.

Während der vergangenen Woche überschlugen sich im Internet die Kommentare zu den Risiken und Datenschutzfragen im Zusammenhang mit Carrier IQ. Die Anwendung ist anscheinend auf verschiedenen Mobilgeräten vorinstalliert und überwacht die Performance des Netzwerks und des Handsets.

In den Veröffentlichungen ging es um mehrere Problemstellungen rund um die Art der Informationen, die die Software sammelt, um die Tatsache, dass die Anwendung ohne Zustimmung des Nutzers auf den Geräten vorinstalliert ist sowie darum, was Nutzer dagegen tun können.

Den Berichten zufolge speichert Carrier IQ Daten zu gesendeten und erhaltenen Textnachrichten, durchgeführten Suchläufen und in das Gerät eingegebenen Telefonnummern. Der Forscher Trevor Eckhart hatte mit einem von ihm veröffentlichten Video, das die Arbeit mit diesen Logs zeigt, die Diskussion um die Anwendung angestoßen.

Gehört alles zum Service

Die Funktionsweise von Carrier IQ ist durchaus sinnvoll. Die Anwendung ist auf das Monitoring der Leistung des Netzwerks und des Handsets ausgerichtet. Die Performance des Carriers aber lässt sich nur dadurch messen, dass die angebotenen Dienste, also Anrufe, Internetverbindungen, der Textnachrichtendienst und weitere Leistungen, geprüft werden. Dafür ist es erforderlich, die angebotenen Dienste effizient zu überwachen und auch Troubleshooting durchzuführen.

Rik Ferguson, Director Security Research & Communication EMEA, von Trend Micro erklärt zudem, dass die Inhalte in Eckharts Video zu einem guten Teil in dem verbose Debugging-Modus erzeugt wurden und damit die Art der Implementierung von Carrier IQ auf den verschiedenen Geräten nicht korrekt widerspiegeln.

Dem Hersteller zufolge loggt Carrier IQ keine Tastenbewegungen in SMS, sondern erkennt nur Tastendruck-Sequenzen, die als lokale Befehle für die Anwendung agieren, so zum Beispiel „upload diagnostics now”. Zwar überwacht die Software ankommende SMS, doch auch hier geht es um Nachrichten, die vom Carrier kommen und als Befehle für Carrier IQ dienen.

Laut Aussage des Herstellers rangiert die Software nichtrelevantes Material aus, noch bevor es von der lokalen App verarbeitet oder gar vom Carrier hochgeladen wird. Daher könne die Anwendung kein nennenswertes Risiko für den Datenschutz darstellen.

Die öffentliche Reaktion auf das Eckhart-Video zeigt, dass die Leute sich des Ausmaßes der Abhängigkeit der Funktionalität eines Telefons vom Carrier gar nicht bewusst sind. Anscheinend haben die meisten vergessen, dass jede Textnachricht, jeder Anruf und jeder Internet-Suchlauf mit der Weitergabe der Informationen an verschiedene Stellen verbunden ist.

Die Einwilligung des Nutzers ist unumgänglich

Das tatsächliche Problem um Carrier IQ besteht in der Notwendigkeit einer informierten Einwilligung, denn die Anwendung ist vorinstalliert, wird automatisch und vom Nutzer nicht erkennbar ausgeführt. Die Menschen aber wollen ihren Datenschutz berechtigterweise selbst bestimmen.
Carrier IQ ist kein bösartiges Programm, und seine Routinen werden benötigt, doch die Einwilligung des Nutzers zur Installation des Programms und seiner Funktion ist ebenso erforderlich. Anwender sollten immer darüber informiert werden, wenn ihre persönlichen Daten an Dritte weitergeleitet werden, und sie müssen auch die Möglichkeit haben, dies zu verhindern.

Potenzielle Gefahren

Rik Ferguson sieht als größtes Risiko durch Apps wie Carrier IQ die damit für Kriminelle verfügbare „Monokultur“. Sollten sie eine auszubeutende Sicherheitslücke in Carrier IQ finden, so stellt die riesige installierte Basis natürlich ein sehr attraktives Ziel dar. Für Ferguson ist dies das am schwersten wiegende Argument gegen die Implementierung desselben Codes durch mehrere Carriers – ohne dass der Anwender die Möglichkeit bekommt, sich dagegen zu wehren. Hinzu kommen die übertrieben langen Zeitspannen, die Carrier für das Rollout von Updates eingeführt haben, aber auch die verschiedenen Android-Varianten, die das Risiko erhöhen.
Für Nutzer, die wissen wollen, ob Carrier IQ auf ihren Geräten installiert ist, hält Trend Micro hier ein Tool zum Herunterladen bereit.

Nachdem die schlimmsten Gefahren bereits beschrieben wurden, folgen nun weitere fünf Szenarien, die mithilfe der neuen Funktionalität von HTML5 denkbar sind.

• Clickjacking einfach gemacht: Clickjacking an sich ist keine neue Angriffsmethode. Ihr Ziel ist, effizient Mausclicks zu stehlen und sie an eine andere, vom Angreifer angegebene Seite umzuleiten. Damit klickt das Opfer, ohne es zu wissen, auf einen versteckten Link. Die derzeit beste Gegenmaßnahme auf Seiten des Servers besteht im so genannten Framekilling. Im Prinzip geht es dabei darum, dass eine betroffene Site mithilfe von JavaScript prüfen kann, ob sie in einem iframe läuft und wenn ja, sich nicht mehr anzeigen lassen. Facebook, Gmail und andere nutzen diese Technik bereits. HTML5 nun ist um ein neues Sandbox-Attribut für iframes erweitert worden, das JavaScript stoppt. In vielen Fällen ist dies sinnvoll für ein sicheres Setup, doch die Kehrseite bedeutet auch, dass der aktuelle Schutz gegen Clickjacking damit nicht mehr funktioniert.
• Port Scanning mit Cross Origin Requests oder WebSockets: Mit HTML5 kann ein Browser sich nun mit jeder IP-Adresse oder Site über nahezu jeden Port verbinden. Der Browser kann jedoch die Antwort auf diese Verbindung nicht lesen, ohne dass dies von der Ziel-Site ausdrücklich erlaubt wird. Forscher haben aber bereits gezeigt, dass die Zeit, die eine Anfragebearbeitung benötigt, dazu genutzt werden kann, um festzustellen, ob der Ziel-Port offen ist. Damit kann der Angreifer Ports des lokalen Netzwerks eines Opfers direkt aus dem Browser scannen.
• Social Engineering mit Webbenachrichtigungen: Webbenachrichtigungen gehören zu den neuen Fähigkeiten in HTML5. Diese Popup-Fenster, die außerhalb des Browser erscheinen, lassen sich mit HTML beliebig anpassen, um eine ausgefeilte Interaktion aufzusetzen. Andererseits sind die Popups auch eine Goldgrube für Social Engineering-Angriffe wie Phishing oder FAKEAV. Das Bild vermittelt eine Vorstellung davon, was Angreifer mit der Funktionalität anstellen können:
  
  
• Verfolgen von Opfern mit Geolocation: Geolokalisierung ist die meisten beachtete neue Funktionalität in HTML5. Aus Sicherheits- und Datenschutzgründen muss eine Site immer die Bewilligung des Nutzers einholen, bevor sie auf diese Informationen zugreift. Doch hat die Erfahrung mit Funktionalität wie Vistas User Access Control, Androids Anwendungsberechtigungen und ungültigen HTTPS-Zertifikaten gezeigt, dass Sicherheit auf Grundlage von Nutzerentscheidungen nur selten funktioniert. Sobald die Erlaubnis erteilt ist, kann die Site nicht nur den Standort des Opfers bestimmen, sondern auch die Bewegung des Opfers in Echtzeit nachvollziehen.
• Verfälschen von Formularen: Eine weitere neue Funktionalität erlaubt es Angreifern, die JavaScript-Code in eine Site eingefügt haben (etwa über einen XSS-Angriff), das Verhalten der Formulare auf der Seite zu ändern. Beispielsweise kann ein Angreifer ein Formular in einem Online Shop so ändern, dass dieses statt Inhalte oder Login-Daten an die Einkaufsseite zu übermitteln, diese Informationen an die Site der Kriminellen übermittelt.

In dem ausführlichen Whitepaper HTML5 Overview: A look at HTML5 Attack Scenarios finden Interessierte alle Informationen zu den Neuerungen in HTML5 und auch den damit einhergehenden Gefahren.

Originalartikel von Robert McArdle, Senior Threat Researcher

HTML5 stellt die fünfte Revision der am meisten verbreiteten Markup-Sprache für die Erstellung von Webseiten dar. Es handelt sich dabei nicht um ein Upgrade, wie man es üblicherweise kennt, sondern um eine ganze Reihe von Features, jedes mit unterschiedlicher Browser-Unterstützung. Zu den wichtigsten Neuerungen gehören eine Grafikbibliothek, einfachere Unterstützung von multimedialen Inhalten, Geolocation, Drag & Drop-Funktionalität sowie Web-Benachrichtigungen. So mächtig die Neuerungen auch sind, so gefährlich können sie den Nutzern werden. Denn sie bieten nicht nur den Web-Entwicklern neue Möglichkeiten, sondern auch der kriminelle Untergrund wird sie für seine bösen Zwecke missbrauchen.

Die größte Bedrohung, die über HTML5 entsteht, sind BITB (Botnets In The Browser). Angreifer sind mit HTML5 in der Lage, ein Botnet zu erzeugen, das auf jedem Betriebssystem, überall auf jedem Gerät funktioniert. Es läuft vorwiegend im Hauptspeicher und berührt daher die Platte kaum. Somit ist es für traditionelle dateibasierte Antivirus-Programme schwierig, es zu entdecken. Auch lässt sich JavaScript einfach verschleiern, sodass auch Netzwerk IDS-Signaturen sich mit diesen BITB schwer tun. Schließlich ist das Botnet webbasiert, kommt also durch die meisten Firewalls leicht durch.

Schritte einer Browser-basierten Botnet-Attacke

Infektion: Das System eines Nutzers wird infiziert, indem er dazu verleitet wird, das ursprüngliche JavaScript auszuführen. Es gibt viele Wege, dies zu tun, einschließlich XSS, Anklicken eines Links in einer Mail oder Instant Message, Blackhat Search Engine Optimization (SEO), Social Engineering, Kompromittieren eine Website oder andere Methoden mehr.

Persistenz: Ein Browser-basiertes Botnet ist von Natur aus nicht so beständig wie ein traditionelles. Sobald ein Opfer den Browser-Tab schließt, stoppt auch der bösartige Code. Dies muss ein Angreifer im Hinterkopf behalten, und die Aufgaben, die er einem BITB zuweist, der eher flüchtigen Natur der Botnet-Knoten anpassen. Wichtig ist dabei, dass Systeme einfach neu infiziert werden können, deshalb eignen sich persistente XSS als Angriffsvektoren besonders gut. Auch die Kombination aus Clickjacking und Tabnabbing stellen einen möglichen Ansatz dar. Clickjacking wird dazu genutzt, um ein Opfer zu zwingen, eine weitere Webseite zu öffnen, die exakt denselben Inhalt wie die ursprüngliche hat. Dabei merkt das Opfer nicht, dass der bösartige Tab im Hintergrund läuft. Um das Leben dieses Tabs zu verlängern, kann ein Angreifer die Technik des Tabnabbings nutzen. Damit maskiert er den ursprünglichen Tab und die Seite als eine häufig genutzte Seite wie Google oder YouTube. Eine sogar noch einfachere Form der Beständigkeit besteht darin, die bösartige Seite als interaktives Spiel darzustellen. Idealerweise ist das Spiel dann so aufgebaut, dass der Nutzer es den ganzen Tag über geöffnet hält und immer wieder darauf zurückgreift, um neue Aufgaben durchzuführen.

Payload: Ein solcher Angriff kann in verschiedene Möglichkeiten münden:

• DDoS-Attacke: Der Web Worker kann Cross Origin Requests nutzen, um Tausende von GET-Anfragen an eine Ziel-Site zu schicken, sodass es zu Denial of Service kommt.
• Spamming: Schlecht konfigurierte Web-Formulare auf den „Contact Us“-Seiten können zur Erzeugung von Spam genutzt werden.
• Bitcoin-Erzeugung: Bitcoins stellen die beliebteste Währung des cyberkriminellen Untergrunds. Es gibt bereits etliche Browser-basierte Bitcoin-Generatoren.
• Phishing: Mithilfe des Tabnabbing-Ansatzes kann ein Angreifer das Aussehen eines bösartigen Tabs jedes Mal ändern, wenn dieser nicht mehr im Fokus ist. Das heißt, jedes Mal, wenn das Opfer zu diesem Tab zurückkehrt, erhält er ein Login eines anderen Dienstes. Somit ist der Angreifer in der Lage, die Login-Daten abzugreifen.
• Interne Netzwerkerkundung: Mit dieser Technik kann ein Angreifer nach Sicherheitslücken oder die Ports im Netzwerk eines Opfers scannen.
• Verwendung eines Netzwerks als Proxy: Mit demselben Ansatz, den die Shell des Future-Tools verwendet, erlaubt es ein Netzwerk kompromittierter Systeme einem Angreifer, dieses als Proxy für Attacken und Netzwerkverbindungen zu nutzen, sodass deren Verfolgung schwieriger wird.
• Verbreitung: Kriminelle können eine Wurmkomponente ins Botnet einfügen, die sich über XSS-Angriffe oder SQL Injection auf angreifbaren Sites verbreitet.

Dies stellt eine bemerkenswerte Möglichkeit im Arsenal von Angreifern dar und wird sicherlich bald häufiger eingesetzt werden, vor allem bei gezielten Attacken. Herkömmliche Sicherheitsmaßnahmen gegen Malware können diese neuen Angriffsvektoren nicht abwehren, doch gibt es zwei kostenlose Tools, die einen sehr guten Schutz bieten.

NoScript: Das Browser Plugin ist unter Fachleuten bereits gut bekannt. NoScript schränkt die Funktionsweise von JavaScript und anderen Plungins auf nicht vertrauenswürdigen Seiten ein.

BrowserGuard: Trend Micros eigenes Tool umfasst eine Reihe von Funktionen, um webbasierte Angriffe abzuwehren. Dazu gehören unter anderem fortschrittliche heuristische Techniken.

In dem ausführlichen Whitepaper HTML5 Overview: A look at HTML5 Attack Scenarios finden Interessierte alle Informationen zu den Neuerungen in HTML5 und auch den damit einhergehenden Gefahren.

Letzte Woche kündigte Mozilla die neue Version 8 des Firefox-Browsers an mit einem der bislang bedeutendsten Sicherheits-Updates. Auf der anderen Seite jedoch könnte die neue Twitter-Einbindung in den Browser neue Gefahren für die Nutzer bringen.

In den vergangenen Monaten hatte Mozilla eine neue Update-Strategie für den Browser eingeführt: Statt Jahr für Jahr eine komplett überarbeitete Version der Software zu veröffentlichen, kommen die neuen Releases immer häufiger, und zwar alle sechs Wochen, und umfassen nur kleinere Verbesserungen. So kommt es, dass es seit März 2011 bereits fünf neue Versionen von Firefox gegeben hat. Ziel dieser Arbeitsweise – die übrigens auch Google mit dem Chrome-Browser anwendet — ist es, den Nutzern neue Funktionalität schneller zur Verfügung zu stellen.

Sicherheits-Fixes

In Firefox 8 hat Mozilla sieben Sicherheitslücken beseitigt und eine Funktion eingeführt, die Addons von Drittanbietern standardmäßig deaktiviert. Auch ist Twitter tiefer integriert worden – eine mögliche neue Gefahrenquelle. Vier von den sieben Sicherheits-Updates werden als kritisch eingestuft und drei haben eine hohe Priorität. Mittlerweile bedeutet eine Sicherheitslücke mit der Stufe hohe Priorität, dass ein Datendiebstahl von den aufgerufenen Sites oder Code Injection möglich ist. Eine dieser Lücken betrifft lediglich Mac-Nutzer, und Mozilla behauptet, es sei eher ein OS X-Hardware-Fehler als eine Browser-Lücke. „Schuld an dem Problem ist ein Fehler im Treiber für die Intel GPUs. Das Problem zeigt sich in WebGL-Implementierungen von anderen Anbietern“, erklärt Claus Wahlers von Mozilla.

 Addon Management

Die bemerkenswerteste Änderung in der Software betrifft das Addon Management. Es wurde bereits in der Beta-Version eingeführt und ist nun offiziell in Firefox 8 eingebunden. Die Funktion lässt Nutzern die Wahl, Addons von Drittanbietern mit einzubinden. „Beim Herunterladen von Fremdsoftware kommt es häufig vor, dass ein Addon sich unbemerkt im Browser installiert hat“, stellt Mozilla in einem Blog fest. „Wir sind jedoch der Ansicht, dass Nutzer die Kontrolle über Addons haben sollen. Deshalb lassen wir es nicht länger zu, dass sich Addons ohne Erlaubnis des Nutzers im Browser installieren.“

Die Funktionalität sollte nicht nur die Performance des Browsers verbessern, sondern auch zusätzliche Sicherheit gewähren. Auch wenn die große Mehrheit der Addons von Drittanbietern harmlos ist, so gestaltet sich die Überprüfung dieser Anwendungen immer weniger streng. Damit aber wächst auch die Bedrohung.

 Twitter-Integration

Ein weiteres Highlight der neuen Version stellt die Einbindung von Twitter in die Suchleiste des Browsers dar. Frühere Versionen beinhalteten Google, Yahoo und andere Suchoptionen. Dies ist jedoch das erste soziale Netzwerk, das zu dem Mix hinzukommt. Der Vorteil laut Mozilla: Nutzer können dank der Hashtags und Twitter-Nutzernamen einfacher neue Themen und Twitter-Einträge recherchieren.

Doch Achtung: Twitter ist häufig anonym, und die Tweets enthalten Links auf externe Quellen. Ein Nutzer könnte sorglos einen Link anklicken, der auf eine bösartige Website zeigt, oder auch einen Virus herunterladen. Dies sollten die Browser-Nutzer im Hinterkopf behalten, wenn sie Twitter-Suchläufe starten.

Trotz der bemerkenswerten Verbesserungen in puncto Browser-Sicherheit, bleibt noch viel zu tun – sowohl auf Seiten von Mozilla als auch von den Nutzern. Beispielsweise könnte sich der Hersteller eine Funktionalität von Googles Chrome abgucken: Der Browser kann nämlich bestimmte bösartige oder verdächtige Websites erkennen und den Nutzer davor warnen, bevor dieser weiter geht. Dieses Feature ließe sich etwa auf schädliche Twitter-Einträge anwenden. Nutzer wiederum sollten darauf achten immer die neuesten Versionen ihrer Sicherheitssoftware aufzuspielen.

Diese neue Funktion des Addon-Managements betrifft auch das Plugin von Trend Micro Titanium Maximum Security. In der nächsten Version 5 wird es ein Update für Firefox 8 geben. Die Web Reputation Services im Smart Protection Network funktionieren jedoch auch unabhängig vom Plugin und blocken schädliche URLs.

Quelle: flickr

Ein neuer Report des Ponemon Institutes zeigt den Graben, der sich zwischen den IT-Sicherheits- und Compliance-Verantwortlichen auftut, wenn es um das Management von Clouds geht. Für ihre Studie hatten die Analysten in den USA 1000 Verantwortliche dieser beiden Gruppen zu den möglichen Herausforderungen bezüglich der Wolkensicherheit befragt, wobei weniger als die Hälfte der Ansicht ist, in ihren Unternehmen sei adäquate Sicherheitstechnologie für ihre Cloud-Infrastrukturen vorhanden.

Doch bei den Fragen, ob die Cloud genauso sicher ist wie das Onpremise-Datacenter, wer für die Cloud-Sicherheit die Verantwortung tragen sollte sowie welche Sicherheitsmaßnahmen erforderlich sind, gehen die Meinungen der beiden Gruppen von Verantwortlichen deutlich auseinander. Lediglich ein Drittel der IT-Sicherheitsfachleute glaubt, Cloud-Infrastrukturumgebungen seien genauso sicher wie das traditionelle Datacenter. Die Hälfte der Compliance Officer dagegen glaubt an die Sicherheit der IaaS (Infrastructure as a Service)-Umgebungen.

Auch bezüglich der Sicherheitsverantwortlichkeiten gibt es unterschiedliche Ansichten: 21 Prozent der Compliance-Manager sehen sich selbst in der Rolle derer, die die Security-Anforderungen definieren. Demgegenüber stehen 22 Prozent der IT-Fachleute, die diese Aufgabe bei sich sehen.

Für die wichtigste Sicherheitsmaßnahme bezüglich der Cloud halten die IT-Verantwortlichen den Einsatz von Verschlüsselung, sodass die Daten für Service Provider nicht lesbar sind. Compliance-Fachleute wiederum sehen die Verwendung von Verschlüsselung eher bei der Trennung der unterschiedlichen Aufgaben, um etwa IT-Administratoren den Zugang zu Daten, die sie nicht für ihre Jobs benötigen, zu verwehren. Insgesamt ist es jedoch nur einem Drittel der Unternehmen wichtig, ihre Daten, die in der Cloud gespeichert sind und auf die dort zugegriffen wird, über Verschlüsselung zu schützen.

„Uns hat die unterschiedliche Haltung zur Cloud-Sicherheit bei den IT-Sicherheits- und Compliance-Verantwortlichen überrascht“, stellte Ponemon Institute Vorsitzender und Gründer Larry Ponemon fest. „Doch zeigt die Befragung, dass die Security-Belange beide Gruppen betrifft, auch wenn es Besorgnis erregend ist, dass die Verantwortlichkeiten für die Cloud-Sicherheit über das gesamte Unternehmen verteilt sind.“

Ganz gleich, welche Abteilung schließlich die Verantwortung für den Schutz der Cloud übernimmt, wichtig ist, dass Unternehmen schnell handeln und eine Sicherheitsstrategie entwickeln.

Die Forscher der Budapester University of Technology an Economics, die den DUQU-Trojaner entdeckt hatten, haben nun den bislang noch nicht bekannten Dropper des Schädlings identifiziert: Es handelt sich um ein Microsoft Word-Dokument, dass einen Zero-Day Kernel-Exploit anstößt. Danach legt das Dokument die Installer-Dateien mit den DUQU-Komponenten ab. Details dazu finden sich hier sowie in den Reports

• DUQU Uses STUXNET-Like Techniques to Conduct Information Theft
• Anatomy of a Data Breach

Die folgende Abbildung zeigt den Ablauf eines solchen Angriffs:

Mittlerweile hat Microsoft ein Security Advisory zu der Schwachstelle veröffentlicht. Diese Schwachstelle existiert in der Parsing Engine für Win32k True Type Fonts und ermöglicht das Anheben von Berechtigungen. Laut Advisory können Angreifer Zufallscode im Kernel-Modus ausführen.

Trend Micro-Anwender sind über das Smart Protection Network vor DUQU geschützt, denn die File Reputation Services erkennen die bösartige Datei und verhindern das Ausführen der Routinen.

Zwischen April und Oktober dieses Jahres führten Cyberkriminelle eine Kampagne zielgerichteter Malware-Angriffe durch, so ein neuer Bericht von Symantec. Dabei wurden mindestens 100 Computer weltweit infiziert. Der Report illustriert die Erkenntnisse aus dem jüngsten Trend Micro Whitepaper „Trends in Targeted Attacks“.

Zielgerichtete Kampagnen

Bei diesen zielgerichteten Schädlingsangriffen handelt es sich nur selten um isolierte Ereignisse. Es sind eher Kampagnen – eine Reihe von fehlgeschlagenen und erfolgreichen Versuchen, in einer gewissen Zeitspanne Ziele zu kompromittieren. Das beim Angreifer vorhandene Wissen über das Opfer, möglicherweise aus einem früheren erfolgreichen Angriff stammend, beeinflusst die spezifischen Merkmale eines einzelnen Angriffs innerhalb einer solchen Kampagne. Im Fall der so genannten „Nitro“-Attacken verwendeten die Kriminellen Nachrichten zu IT-Sicherheitsthemen, die ziemlich generisch wirkten, doch auf unterschiedliche Ziele angepasst waren. Die Download-Links in der E-Mail-Nachricht sollten aussehen, als ob sie auf die eigene Website des Opfers zeigten. Häufig fokussiert sich diese weniger spezifische Zielrichtung auf Interessengemeinschaften. Damit will man Informationen erhalten, die später in einem präziseren Angriff genutzt werden sollen.

Im allgemeinen suchen sich die Angreifer eine Vielfalt an Zielen aus. In Fall der „Nitro“-Attacken konzentrierten sie sich auf Chemieunternehmen aber auch Menschenrechtsorganisationen und den Verteidigungssektor.

Menschliche Interaktion

Die in der “Nitro”-Kampagne verwendete Hintertür-Software ist als Poison Ivy bekannt. Es ist ein frei verfügbarer Trojaner, der dem Angreifer vollständigen, „Echtzeit“-Zugang zu einem infizierten Computer verschafft. In zielgerichteten Angriffen wird häufig übersehen, dass sie auf menschlicher Interaktion in Echtzeit basieren. Diese Komponente unterscheidet sie von automatisierten Botnetzen. Wenn der Poison Ivy-Schädling Verbindung zum Command & Control-Server der Angreifer aufnimmt, so steht da ein Mensch dahinter, der den infizierten Computer sowie das zugehörige Netzwerk zu durchsuchen beginnt. Dieser Angreifer kann Informationen entwenden, zusätzliche Schadsoftware installieren und weitere Maschinen des Netzwerks infizieren. Noch wichtiger ist die Tatsache, dass dieser Mensch auf die Schutzmaßnahmen des Opfers reagieren kann.

Segmentierte Infrastruktur

Die Angreifer müssen eine Command & Control (C&C)-Infrastruktur aufsetzen, um die Verbindung zu den infizierten Computern zu halten. In manchen Fällen unterhalten sie unterschiedliche Sets von C&C-Infrastrukturen, sodass es schwierig ist, das ganze Ausmaß ihrer Aktivitäten aufzudecken. Mithilfe der ursprünglichen Malware-Muster, Domänen und IP-Adressen, die Symantec geliefert hatte, konnten die Sicherheitsfachleute bei Trend Micro drei unterschiedliche C&C-Infrastruktursets ausmachen.

Das erste Set enthält drei Domänen, die von dynamischen DNS-Diensten zur Verfügung gestellt werden. Angreifer nutzen häufig dynamische DNS-Dienste mit remote Administrationswerkzeugen, wie Poison Ivy. Mithilfe dieser Dienste können die Angreifer einfach ihre C&C-Domänen auf neue IP-Adressen einstellen und damit eine konsistente Verbindung zu den infizierten Computern aufrecht erhalten.

Das zweite C&C-Infrastrukturset ist rund um drei Domänen aufgebaut, die alle dieselbe IP-Adresse auflösen. Die C&C-Domäne domain.rm6.org wurde auch in einem Angriff auf die britische Regierung im August 2011 verwendet.

Das dritte Set baut auf die Domäne antivirus-groups.com und die IP-Adresse 204.74.215.58, die von Symantec mit einem bestimmten Schauspieler, Codename „Covert Grove“ in Verbindung gebracht wurde.

Mit dieser segmentierten Infrastruktur können die Angreifer dasselbe Set für verschiedene mögliche Opfer nutzen, ohne dass die Angriffe zwangsläufig miteinander in Verbindung stehen müssen. Ohne zusätzliche Informationen kann es schwierig werden, das ganze Ausmaß der gezielten Kampagnen mit allen Verbindungen untereinander zu erkennen. Dies zeigt, wie wichtig Threat-Intelligenz für Schutzstrategien ist.

Schutzstrategien lassen sich bedeutend verbessern, wenn man versteht, wie gezielte Angriffe, einschließlich der Trends bei den Tools, Taktiken und Vorgehensweise, funktionieren. Diese Art der Attacken ist auf das Entwenden von kritischen Daten ausgerichtet. Deshalb sind Strategien sehr wichtig, die sich auf den Schutz der Daten, wo immer sie liegen, konzentrieren. Für einen wirksamen Schutz ist die effiziente Nutzung von Bedrohungsintelligenz, wie sie das Smart Protection Network von Trend Micro bietet, unabdingbar, denn es bezieht die Informationen aus externen und internen Quellen in Verbindung mit Kontext-sensitivem Datenschutz und Sicherheitswerkzeugen, die diese Intelligenz anwenden können.